关于海康威视部分NVR设备存在安全漏洞的安全公告

交通秩序管控子行业面向交通管理秩序部门，完成交通信号控制、道路组织优化、交通评价诊断、诱导信息发布、静态交通管理、重点车辆管控等重点业务内容。随着大数据、物联网等技术的大力发展，海康威视秩序管控系统在新技术赋能下，充分发挥信号机及前端物联感知设备的边缘节点、边缘域的数据感知、汇聚、处理、控制的优势，结合AI TRAFFIC 交通认知引擎能力、数据治理能力、精细化场景算法应用能力，建立边缘节点、边缘域、云中心分级统一的智能应用系统，实现交通问题发现、交通时空划分、信号配时优化、动态车道管理、交通效果评价、交通仿真推演、交通诱导与信息发布、动态限时停车、重点车辆管控等核心应用能力，支撑不同城市级别和管控需求的用户开展交通出行管理服务，让管理更高效、让道路更有序、让出行更美好。

公告编号：HSRC-202404-01

公告来源：海康威视安全应急响应中心

初始发布时间：2024-04-02

漏洞概述：

海康威视部分NVR设备存在以下安全漏洞

(1) 部分海康威视NVR产品存在字节越界读取漏洞。经过身份验证的攻击者可以通过向设备发送特定信息来利用此漏洞，成功利用可能会导致特定场景下的服务异常。

(2) 部分海康威视NVR产品存在命令注入漏洞，具有管理员权限的用户可以通过该漏洞执行任意命令。

建议用户设置复杂度高的设备口令以缓解以上漏洞被攻击的可能性。

漏洞编号：

CVE-2024-29948

CVE-2024-29949

漏洞评分：

该漏洞使用CVSS v3.1标准进行分级评分（http://www.first.org/cvss/specification-document）

CVE-2024-29948

基础得分：3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L)

CVE-2024-29949

基础得分：7.2（CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

影响版本和修复版本：（如升级失败，可点击 在线客服 获取帮助）

产品名称	受影响范围	受影响版本号	修复版本下载
DS-7804N-Z1/4P/X(C)	CVE-2024-29948	V4.81.100 build231114 及以前的版本	点击下载
DS-7604NB-K1/4P	CVE-2024-29949	V4.30.096 build221220 及以前的版本	可以联系所在地区分公司（点击查看联系方式）或海康客服（点击咨询）获取支持
DS-76xxNX-Ix		V5.00.000-V5.02.006 （不含V5.02.006及之后的版本）	可以联系所在地区分公司（点击查看联系方式）或海康客服（点击咨询）获取支持
DS-77xxNX-Ix
DS-86xxNX-Ix
DS-86xxNX-Kxx
DS-86xxN-Ix
DS-76xxN-Ix
DS-77xxN-Ix
DS-85xxN-KSxxR
DS-86xxxN-Ixx
DS-86xxN-Kxx
DS-96xxxN-Ixx
iDS-67xxNX
iDS-76xxNX-Ix
iDS-77xxNX-Ix
iDS-86xxNX-Ix
iDS-96xxxNX-Ix

版本获取途径：

用户可通过海康威视官网获取补丁/更新版本。

漏洞来源：

该漏洞是由Team.ENVY的KITRI BoB 12th报告给海康威视HSRC。

联系渠道：

关于海康威视产品和解决方案的安全问题，可通过 hsrc@hikvision.com联系HSRC。海康威视对所有关注我司产品的安全研究人员表示感谢！

关于海康威视部分NVR设备存在安全漏洞的安全公告

安全公告-海康威视部分NVR设备存在安全漏洞

获得更好的体验